Sie werden sicherlich gleich die Augen verdrehen und denken, wie kann man nur? Aber folgendes Szenario findet im Gesundheitswesen so oder in abgewandelter Form täglich statt:

Arzt A ist niedergelassener Hämatologe, behandelt einen Patienten. Der Fall scheint komplizierter zu sein, als auf den ersten Blick vermutet. Daher beschließt A ein Konsil bei der Kollegin B der gleichen Fachrichtung, die an einem großen Universitätsklinikum angestellt ist, einzuholen (für alle Nicht-Mediziner: ein Konsil ist eine patientenbezogene Beratung eines Arztes durch einen anderen Arzt). Zum Glück oder auch Unglück sind beide per WhatsApp verbunden. Also zückt A schnell sein Handy, macht ein paar Screenshots von den Hämatomen des Patienten und sendet die Bilder mit Informationen zum Patienten an B. Da diese aber gerade auf Weiterbildung ist, leitet sie die Fotos und Daten von ihrem Privatgerät an den Kollegen C weiter, der dann das Konsil erstellt. Dieses wird über B zurück an A gespielt, der anschließend die weitere Behandlung des Patienten vornimmt.

Schöne neue Welt

Die neuen Medien bieten eine Vielzahl an Möglichkeiten. Leider werden diese allzu oft unbedarft verwendet. Im oben genannten Fall fallen spontan folgende Buzzwords ein:

  • Serverstandorte in den USA
  • Verzahnung WhatsApp mit Facebook
  • Gesundheitsdaten in der Cloud
  • Unklare Löschung der Daten von den Geräten
  • Einholung der Einwilligung des Patienten
  • Umsetzung von Betroffenenrechten
  • § 203 StGB

Je länger man darüber nachdenkt, umso länger würde die Liste werden.

Rechtliche Bewertung

Wer jetzt eine rechtliche Bewertung des Falles erwartet, wird leider enttäuscht. Das Thema WhatsApp wurde bereits von so vielen Kollegen bewertet, dass wir hier davon absehen. Stattdessen unterzogen wir WhatsApp einer summarischen, also einer groben, nicht in die Tiefe gehenden Prüfung, anhand des von der DSK herausgegebenen Whitepapers zu den technischen Datenschutzanforderungen an Messenger-Dienste im Krankenhausbereich.

Whitepaper der Datenschutzkonferenz

Die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder haben in ihrem Whitepaper einen Kriterienkatalog aufgestellt, anhand dessen geprüft werden kann, ob ein Messenger-Dienst im Gesundheitsbereich (aber auch in anderen Bereichen, in denen sensible personenbezogene Daten verarbeitet werden) eingesetzt werden darf.

Thematisch wird im Whitepaper zwischen verschiedenen Bereichen unterschieden:

  • Messenger-Applikation
    Hier werden beispielsweise die Aspekte der Umsetzung von Informationspflichten thematisiert
  • Kommunikation
    An dieser Stelle ist beispielsweise auf die Ende-zu-Ende-Verschlüsselung einzugehen
  • Sicherheit der Endgeräte
    Thematisiert werden hier zum Beispiel die Aspekte des Zugriffsschutzes
  • Plattform/Betrieb
    Unter diesem Bereich ist die Durchführung einer Datenschutz-Folgenabschätzung zu erörtern.

Inhaltlich muss jeweils geprüft werden, ob es sich um MUSS- oder SOLL-Vorgaben handelt. MUSS-Anforderungen sind datenschutzrechtlich geboten und müssen zwingend umgesetzt werden. Bei SOLL-Anforderungen können gesetzliche Alternativen bestehen oder es handelt sich um wünschenswerte Umsetzungen.

Wie sieht das in der Praxis aus:

Wir haben im Rahmen einer summarischen Prüfung den Messenger-Dienst WhatsApp anhand des Kriterienkataloges des Whitepapers geprüft. Uns ist bewusst, dass bei einzelnen Prüfungspunkten mit einer entsprechenden Argumentation auch eine andere Bewertung erreicht werden kann. Unsere summarische Prüfung können Sie hier downloaden.

Ohne zu viel vorweg zu nehmen: Wie zu erwarten war, ist WhatsApp nicht für den Einsatz im Gesundheitswesen geeignet. Aber an dieser Stelle sei darauf hingewiesen, dass unverschlüsselte E-Mails auch nicht das Mittel der Wahl sein sollten. Es gibt inzwischen einige Anbieter, die die Anforderungen der DSK erfüllen. Gesundheitseinrichtungen sind gut beraten, sich den Prüfkatalog anzusehen, alleine schon um mögliche Gefahrenquellen zu kennen.

| | , , | , , , ,